Як змусити користувачів змінити свої паролі в Linux

| | 0 Comments| 8:07 PM
Categories:

Паролі є запорукою безпеки облікового запису. Ми покажемо вам, як скинути паролі, встановити терміни дії пароля та застосувати зміни пароля у вашій мережі Linux.

Пароль існує майже 60 років

Ми доводили комп’ютерам, що ми є тими, за кого себе представляємо, з середини 1960-х років, коли вперше було введено пароль. Необхідність, будучи матір’ю винаходу, Сумісна система розподілу часу розроблений на Массачусетський технологічний інститут потрібен спосіб ідентифікувати різних людей у ​​системі. Це також необхідно, щоб люди не бачили файли один одного.

Фернандо Дж. Корбато запропонував схему, яка призначала унікальне ім’я користувача кожній людині. Щоб довести, що хтось є тим, за кого вони себе представляли, вони повинні були використовувати особистий особистий пароль для доступу до свого облікового запису.

Проблема з паролями в тому, що вони працюють як ключ. Кожен, хто має ключ, може ним скористатися. Якщо хтось знайде, вгадає або розгадає ваш пароль, ця особа зможе отримати доступ до вашого облікового запису. Поки багатофакторна аутентифікація є загальнодоступним, пароль – єдине, що захищає неавторизованих людей (суб’єкти загрози, в cybersecurity-speak) з вашої системи.

Віддалені з’єднання, створені за допомогою Secure Shell (SSH), можна налаштувати на використання ключів SSH замість паролів, і це чудово. Однак це лише один метод підключення, і він не охоплює локальні логіни.

Очевидно, що керування паролями є життєво важливим, як і керування людьми, які використовують ці паролі.

Анатомія пароля

Що робить пароль хорошим? Ну, хороший пароль повинен мати всі наступні атрибути:

Це неможливо ні вгадати, ні здогадатися.
Ви більше ніде не використовували його.
Він не був залучений до а порушення даних.

The Мене обдурили (HIBP) веб-сайт містить понад 10 мільярдів наборів порушених облікових даних. З такими високими цифрами, швидше за все, хтось інший використав той самий пароль, що й ви. Це означає, що ваш пароль може бути в базі даних, навіть якщо зламано не ваш обліковий запис.

Якщо ваш пароль є на веб-сайті HIBP, це означає, що він є в списках загроз для паролів. груба сила та словникова атака інструменти, які використовуються, коли вони намагаються зламати обліковий запис.

Справді випадковий пароль (наприклад [email protected]%*[email protected]#b~aP) практично невразливий, але, звичайно, ви ніколи не згадаєте його. Ми настійно рекомендуємо використовувати менеджер паролів для облікових записів в Інтернеті. Вони генерують складні випадкові паролі для всіх ваших онлайн-облікових записів, і вам не потрібно їх запам’ятовувати — менеджер паролів надає вам правильний пароль.

Для локальних облікових записів кожна особа має згенерувати свій власний пароль. Вони також повинні знати, який пароль є прийнятним, а який ні. Їм доведеться вказати не використовувати повторно паролі в інших облікових записах тощо.

Ця інформація зазвичай міститься в політиці паролів організації. Він наказує людям використовувати мінімальну кількість символів, змішувати великі та малі літери, включати символи та розділові знаки тощо.

Однак, згідно з абсолютно новий папірецьr від команди на Університет Карнегі-Меллона, усі ці хитрощі мало чи нічого не додають до надійності пароля. Дослідники виявили, що два ключових фактора надійності паролів полягають у тому, що вони мають принаймні 12 символів і є достатньо надійними. Вони вимірювали міцність пароля за допомогою ряду програм-зломників, статистичних методів і нейронних мереж.

  Як використовувати команду рядків у Linux

Мінімум із 12 символів спочатку може здатися страшним. Однак не думайте про пароль, а скоріше за парольну фразу з трьох або чотирьох непов’язаних слів, розділених розділовими знаками.

Наприклад, Експертна перевірка паролів сказав, що для зламу «chicago99» знадобиться 42 хвилини, а для того, щоб зламати «chicago.purple.bag», – 400 мільярдів років. Він також легко запам’ятовується та вводиться, містить лише 18 символів.

Перегляд поточних налаштувань

Перш ніж щось змінювати, пов’язане з паролем людини, доцільно переглянути їхні поточні налаштування. За допомогою команди passwd ви можете переглянути їхні поточні налаштування з опцією -S (статус). Зауважте, що вам також доведеться використовувати sudo з passwd, якщо ви працюєте з чужими налаштуваннями пароля.

Набираємо наступне:

sudo passwd -S mary

Один рядок інформації друкується у вікні терміналу, як показано нижче.

У цій короткій відповіді ви бачите таку інформацію (зліва направо):

Ім’я користувача.
Тут з’являється один із трьох можливих індикаторів:
P: вказує, що обліковий запис має дійсний робочий пароль.
L: Означає, що обліковий запис заблоковано власником кореневого облікового запису.
NP: Пароль не встановлено.

Дата останньої зміни пароля.
Мінімальний вік пароля: мінімальний період часу (у днях), який має пройти між скиданнями пароля, виконаними власником облікового запису. Однак власник облікового запису root завжди може змінити пароль будь-кого. Якщо це значення дорівнює 0 (нуль), немає обмежень на частоту зміни пароля.
Максимальний вік пароля: власнику облікового запису буде запропоновано змінити свій пароль, коли він досягне цього віку. Це значення вказано в днях, тому значення 99 999 означає, що термін дії пароля ніколи не закінчується.
Період попередження щодо зміни пароля: якщо встановлено максимальний термін дії пароля, власник облікового запису отримуватиме нагадування про зміну свого пароля. Першому з них буде надіслано кількість днів, показана тут до дати скидання.
Період неактивності для пароля: якщо хтось не отримує доступу до системи протягом періоду часу, який перекриває кінцевий термін скидання пароля, пароль цієї особи не буде змінено. Це значення вказує, скільки днів після закінчення терміну дії пароля триває пільговий період. Якщо обліковий запис залишається неактивним протягом цієї кількості днів після закінчення терміну дії пароля, обліковий запис буде заблоковано. Значення -1 вимикає пільговий період.

Встановлення максимального віку пароля

Щоб встановити період скидання пароля, ви можете використовувати параметр -x (максимальна кількість днів) із кількістю днів. Ви не залишаєте пробіл між -x і цифрами, тому введіть його так:

sudo passwd -x45 mary

Нам повідомили, що значення терміну дії було змінено, як показано нижче.

  4 найкращих похідних від Arch Linux, які можна спробувати

Використовуйте параметр -S (статус), щоб перевірити, чи тепер значення становить 45:

sudo passwd -S mary

Тепер, через 45 днів, для цього облікового запису потрібно встановити новий пароль. Нагадування почнуться за сім днів до цього. Якщо вчасно не ввести новий пароль, цей обліковий запис буде негайно заблоковано.

Забезпечення негайної зміни пароля

Ви також можете використовувати команду, щоб іншим у вашій мережі доведеться змінити свої паролі під час наступного входу в систему. Щоб зробити це, ви повинні використовувати параметр -e (expire), як показано нижче:

sudo passwd -e mary

Потім нам повідомляють, що інформація про закінчення терміну дії пароля змінилася.

Давайте перевіримо за допомогою параметра -S і подивимося, що сталося:

sudo passwd -S mary

Дата останньої зміни пароля встановлена ​​на перший день 1970 року. Наступного разу, коли ця особа спробує ввійти, їй доведеться змінити свій пароль. Вони також повинні надати свій поточний пароль, перш ніж вводити новий.

Чи потрібно примусово змінити пароль?

Змусити людей регулярно змінювати паролі раніше було здоровим глуздом. Це був один із звичайних заходів безпеки для більшості установок і вважався гарною діловою практикою.

Мислення зараз є полярно протилежним. У Великобританії Національний центр кібербезпеки наполегливо радить проти застосування регулярного оновлення пароля, і Національний інститут стандартів і технологій в США погоджується. Обидві організації рекомендують примусово змінювати пароль, лише якщо ви знаєте або підозрюєте, що вже існує відомі іншим.

Примушування людей змінювати паролі стає одноманітним і заохочує використовувати слабкі паролі. Люди зазвичай починають повторно використовувати базовий пароль з тегом дати або іншого номера. Або вони запишуть їх, тому що їм доводиться змінювати їх так часто, що вони не можуть їх запам’ятати.

Дві організації, про які ми згадували вище, рекомендують наступні вказівки щодо безпеки паролів:

Використовуйте менеджер паролів: як для онлайн, так і для локальних облікових записів.
Увімкніть двофакторну автентифікацію: використовуйте її всюди, де це є.
Використовуйте надійну парольну фразу: відмінна альтернатива для тих облікових записів, які не працюватимуть з менеджером паролів. Три або більше слів, розділених розділовими знаками або символами, є хорошим шаблоном для наслідування.
Ніколи не використовуйте пароль повторно: не використовуйте той самий пароль, який ви використовуєте для іншого облікового запису, і точно не використовуйте той, який зазначено на Мене обдурили.

Наведені вище поради дозволять вам створити безпечний спосіб доступу до ваших облікових записів. Після того, як у вас є ці вказівки, дотримуйтеся їх. Навіщо змінювати пароль, якщо він надійний і безпечний? Якщо він потрапив у чужі руки — або ви підозрюєте, що потрапив — ви можете змінити його.

Однак іноді це рішення не з ваших рук. Якщо повноваження щодо застосування пароля змінюються, у вас не буде великого вибору. Ви можете заперечити свою позицію та заявити про свою позицію, але якщо ви не керівник, вам доведеться дотримуватися політики компанії.

  Як встановити програми Kali Linux у Debian

Команда chage

Ви можете використовувати команда зміни щоб змінити налаштування щодо старіння пароля. Ця команда отримала свою назву від «змінити старіння». Це як команда passwd з вилученими елементами створення пароля.

Параметр -l (список) надає ту ж інформацію, що й команда passwd -S, але більш дружнім способом.

Набираємо наступне:

sudo chage -l eric

Ще один зручний штрих: ви можете встановити дату закінчення дії облікового запису за допомогою параметра -E (термін дії). Ми передаємо дату (у форматі рік-місяць-дата), щоб встановити дату закінчення терміну дії 30 листопада 2020 року. У цю дату обліковий запис буде заблоковано.

Набираємо наступне:

sudo chage eric -E 2020-11-30

Далі ми вводимо наступне, щоб переконатися, що цю зміну було зроблено:

sudo chage -l eric

Ми бачимо, що термін дії облікового запису змінився з “ніколи” на 30 листопада 2020 року.

Щоб встановити термін дії пароля, ви можете використовувати параметр -M (максимум днів), а також максимальну кількість днів, через які пароль може бути використаний до його зміни.

Набираємо наступне:

sudo chage -M 45 mary

Ми вводимо наступне, використовуючи параметр -l (список), щоб побачити ефект нашої команди:

sudo chage -l mary

Термін дії пароля тепер становить 45 днів з дати, коли ми його встановили, яка, як показано, буде 8 грудня 2020 року.

Зміна пароля для всіх користувачів мережі

Під час створення облікових записів для паролів використовується набір значень за замовчуванням. Ви можете визначити значення за замовчуванням для мінімальних, максимальних і попереджувальних днів. Потім вони зберігаються у файлі під назвою «/etc/login.defs».

Ви можете ввести наступне, щоб відкрити цей файл у gedit:

sudo gedit /etc/login.defs

Перейдіть до елементів керування старінням пароля.

Ви можете відредагувати їх відповідно до своїх вимог, зберегти зміни, а потім закрити редактор. Наступного разу, коли ви створите обліковий запис користувача, будуть застосовані ці значення за замовчуванням.

Якщо ви хочете змінити всі терміни дії паролів для наявних облікових записів користувачів, ви можете легко зробити це за допомогою сценарію. Просто введіть наступне, щоб відкрити редактор gedit і створити файл під назвою «password-date.sh»:

sudo gedit password-date.sh

Далі скопіюйте наступний текст у свій редактор, збережіть файл і закрийте gedit:

#!/bin/bash

reset_days=28

for username in $(ls /home)
do
  sudo chage $username -M $reset_days
  echo $username password expiry changed to $reset_days
done

Це змінить максимальну кількість днів для кожного облікового запису користувача на 28, а отже, частоту скидання пароля. Ви можете налаштувати відповідне значення змінної reset_days.

Спочатку ми вводимо наступне, щоб зробити наш скрипт виконуваним:

chmod +x password-date.sh

Тепер ми можемо ввести наступне, щоб запустити наш скрипт:

sudo ./password-date.sh

Потім кожен обліковий запис обробляється, як показано нижче.

Ми вводимо наступне, щоб перевірити обліковий запис на наявність «mary»:

sudo change -l mary

Максимальне значення днів встановлено на 28, і нам сказали, що воно впаде на 21 листопада 2020 року. Ви також можете легко змінити сценарій і додати більше команд chage або passwd.

Керування паролями – це те, до чого потрібно ставитися серйозно. Тепер у вас є інструменти, необхідні для контролю.